解決銀行客戶身份驗證挑戰的安全且可擴展的方法

銀行和其他金融服務公司知道，他們特別容易受到針對其業務和客戶的網絡攻擊。

多因素身份驗證(MFA)或強客戶身份驗證(SCA)解決方案是一種特別有效的防御措施，但有些比其他解決方案更好。對于移動身份驗證解決方案尤其如此。

許多消費者期望他們在使用其他移動應用程序時享受同樣的便捷體驗。但是，無論它們多么方便，這些解決方案也必須得到妥善保護。

移動身份驗證解決方案充斥著存在重大安全漏洞的產品

這些缺陷包括使用安全代碼的解決方案，也稱為一次性密碼(OTP)，通過SMS發送到客戶的手機。

這種方法被廣泛使用多年，極易受到網絡安全威脅。組織必須了解他們的風險，這樣他們才能保護自己和客戶。他們還需要了解如何確保移動身份驗證和交易簽名的安全，以及如何使用當今的控制和協議來部署安全、無縫和可擴展的解決方案。

知道什么是利害攸關的

有多種攻擊媒介，包括黑客用來重新路由人們的文本的非法短信服務，以便他們可以訪問他們的帳戶。

例如，ReadWrite在2021年5月報告了FluBot惡意軟件如何在安裝后收集所有密碼并將其發送回其來源公司。更惡毒的——該機器人還收集所有聯系人并從受害者的帳戶發送消息，感染更多的人。

在一年前的另一次重大攻擊中，攻擊者建立了一個由16,000個虛擬移動設備組成的網絡，然后截獲了SMS一次性密碼(OTP)。

根據Ars Technica的報道，IBM Trusteer研究人員發現了大規模欺詐操作，該操作使用移動設備模擬器網絡在幾天內從移動銀行應用程序中提取了數百萬美元。

越來越依賴數字交易渠道

隨著對數字交易渠道的日益依賴，網絡攻擊的數量顯著增加。

正如ReadWrite撰稿人Peter Daisyme在其改進和優化公司數據安全計劃的5種方法中指出的那樣，2022年4月Block-Cash應用程序的泄露可能已經暴露了超過800萬客戶的數據。

2022年初，Crypto.com承認，近500名用戶在嚴重違規后集體被盜30多萬美元。

使用受損的用戶憑據仍然是黑客發起攻擊的主要方式

2021年春季，黑客利用多因素身份驗證漏洞從大約6,000個Coinbase帳戶中竊取了加密貨幣。該漏洞使他們能夠通過SMS輸入OTP并訪問和檢索用戶帳戶信息。

移動身份驗證安全性為這些挑戰提供了解決方案，使用戶能夠利用各種移動設備功能在訪問應用程序或執行交易之前驗證其身份。

移動身份驗證安全性如何工作

將無處不在的智能手機轉變為易于使用、無處不在的身份驗證器是理想的選擇，但確保移動身份驗證過程的安全絕非易事。

該行業已通過非營利性開放Web應用程序安全項目(OWASP)基金會為移動身份驗證創建了基準安全標準。但是，這些標準與為Web應用程序創建的標準不同。

移動應用程序提供了更多用于存儲數據和利用設備內置安全功能來驗證用戶身份的選項。因此，即使是很小的設計選擇也會對解決方案的整體安全性產生超出預期的影響。

一種移動身份驗證選擇是SMS驗證，或通過SMS發送的OTP，它已在全球范圍內得到廣泛采用。這是HID Global在2021年研究中調查的金融機構中領先的身份驗證方法。Ponemon Institute估計，盡管存在重大安全風險，SMS OTP仍被大約三分之一的移動用戶使用。

另一種方法是將推送通知與安全的帶外通道相結合的身份驗證解決方案。

帶外方法提供了更強大的安全性、靈活性和改進的可用性組合。這種安全的、基于通道的身份驗證方法將加密技術應用于將特定設備與其所有者身份相關聯的任務。

它排除了攻擊者冒充某人的可能性，除非他們可以物理訪問設備。此外，它是一種比SMS身份驗證更安全的方法，因為服務提供商無需通過不安全的網絡向客戶的設備發送敏感信息。

推送通知還使用戶體驗比SMS系統更直接。

當手機上出現推送通知時，用戶必須做的就是通過選擇“批準”或“拒絕”交易來驗證請求。這與引用通過SMS接收的OTP并將其重新輸入手機形成對比。

用戶通常會看到一小部分身份驗證過程，其中大部分發生在后臺。

整個移動身份驗證生命周期從注冊和識別用戶設備開始，然后為用戶提供安全憑證。

該解決方案還必須保護用戶憑據并保護用戶、應用程序和后端服務器之間的所有通信。

最后，它必須在組織的應用程序運行時保護敏感數據請求，維護整個客戶生命周期的安全性，并防止暴力攻擊。這些步驟中的每一個都存在挑戰。

解決七大強大的客戶身份驗證挑戰

各種因素使移動身份驗證安全難以實施，包括選擇最有效的技術并將其集成到組織更廣泛的安全系統中。移動身份驗證生命周期中有七種基本挑戰類別：

識別和認證用戶設備

驗證一個人的數字身份的理想方法是識別他們是否以及何時使用他們的設備。如果沒有這種識別，攻擊者可以通過將用戶的數據傳輸到實際移動設備的真實或虛擬克隆中來冒充用戶。

為了解決這個問題，可以使用反克隆技術來確保沒有人可以通過這種欺詐設備獲得訪問權限。

當依賴于幾乎所有現代智能手機附帶的安全元件(SE)時，反克隆技術最為有效。

對于iOS，這是集成到Apple片上系統(SoC)中的Secure Enclave專用安全子系統。

對于Android設備，可信執行環境或TEE與android操作系統一起運行。利用設備的安全元件使身份驗證解決方案能夠最大限度地利用內置的硬件安全保護。

此外，最強大的身份驗證解決方案可以阻止潛在的克隆者使用多層加密保護，并使用唯一的設備密鑰保護個人密鑰。此唯一密鑰是在初始配置過程中生成的，即使它被破壞，也可確保攻擊者無法訪問任何其他密鑰或冒充設備。

配置用戶設備，使其免受網絡攻擊

管理用戶的身份并向他們的移動設備頒發憑據必須是安全的，并且不會受到網絡攻擊。

一些移動身份驗證解決方案使用公鑰加密（基于數學鏈接的私鑰/公鑰對）激活用戶設備。在這個公共/私人對中，客戶設備生成的私人密鑰被認為是秘密的。

他們永遠不會離開設備，因此憑據被泄露的可能性較小。這適用于移動身份驗證器，因為它們可以在身份驗證請求期間與身份驗證服務器進行直接交換，并且不需要用戶手動干預，例如推送身份驗證響應。

當移動認證器和認證服務器之間需要交換密鑰材料時，必須采取兩個額外的步驟。

提供手動替代方案（如OTP）的移動身份驗證器就是這種情況。這些步驟可確?？蛻舳撕头掌髦g安全地交換密鑰材料：

• 用戶初始認證建立安全通道。
• 建立安全通道本身來交換共享秘密。

使用最安全的解決方案，初始身份驗證對每個用戶都是唯一的，此身份驗證事件僅使用一次，并且在注冊成功完成后立即過期。

一些解決方案還使組織能夠自定義特定的安全設置和規則。例如，他們可以更改初始身份驗證代碼的長度及其字母數字組成或初始身份驗證失敗后允許的重試次數，以及其他參數。

組織還應考慮管理其用戶和設備配置流程的策略。

理想情況下，身份驗證解決方案應使組織能夠確定是否允許向舊操作系統或越獄手機或沒有安全元件的移動設備頒發憑據。

像這樣的解決方案通常還讓組織可以選擇使用哪種類型的加密。除了供應商已經建立的設置之外，它們還簡化了配置設置的過程。

在危險的數字世界中保護用戶憑證

強大的策略對于保護憑證免受多種不同的攻擊和網絡釣魚方案至關重要。但是，這可能很困難，尤其是對于因組織而異的密碼策略。移動身份驗證解決方案可以在這方面提供幫助，通過使用推送通知來適應這些策略差異。

例如，可以在成功輸入密碼后立即觸發推送通知?；蛘?，可能首先要求用戶采取額外的步驟來驗證他們的身份，例如輸入他們的設備PIN/密碼或生物特征標記。

通過確保安全通信來保護敏感數據

敏感數據在通過不安全的渠道移動時可能會被截獲，因此用戶、移動身份驗證解決方案和后端服務器之間的所有通信都需要加密。

在交換任何消息之前，必須使用證書固定來確保移動身份驗證解決方案與正確的服務器通信。這限制了哪些證書對該服務器有效，并在身份驗證解決方案和服務器之間建立了明確的信任，同時減少了對第三方組織的依賴。

TLS協議的使用對于傳輸級安全至關重要。例如，使用TLS 1.2，身份驗證解決方案和服務器之間共享的每條消息以及傳輸到移動設備的任何通知都受到保護。

信息還應在此安全隧道內加密，以確保消息級別的安全性。最好的身份驗證解決方案更進一步，不需要在用戶的推送通知中發送任何敏感的用戶數據。相反，它們確保應用程序和服務器之間的私有、安全通道。

此通道檢索請求的上下文，限制暴露和妥協的風險。

檢測和阻止實時攻擊

零日漏洞正在增加，這使得所有應用程序都必須應用各種實時技術來檢測和阻止攻擊。

一種方法是使用運行時應用程序自我保護(RASP)，它建立了用于在應用程序運行時檢測、阻止和減輕攻擊的控制和技術。RASP還有助于防止逆向工程和未經授權的應用程序代碼修改，并且無需人工干預即可執行這些功能。

解決方案采用多層防御也很重要。

這將繞過任何單一控制導致違規的可能性降到最低。這些層包括：

• 代碼混淆：人類更難理解反編譯的源代碼，除非他們修改程序執行。
• 篡改檢測：通過使用ASLR、堆棧粉碎和屬性列表檢查（也稱為.plist檢查）等技術，組織可以確保應用程序或其環境沒有受到損害，并且任何相關功能都沒有改變。
• 越獄和模擬器檢測：這使組織能夠創建和執行與可信或不可信設備類型相關的策略。

簡化身份驗證生命周期管理

為了降低加密密鑰和證書可能被泄露的風險，它們在發布到設備時被賦予了有限的生命周期。

這個生命周期越短，密鑰就越安全。然而，伴隨著這些較短的關鍵生命周期，需要嚴格遵循嚴格的密鑰管理和更新程序。

但是，實現此目的的解決方案不應強迫用戶不斷地重新注冊服務。

答案？最新的身份驗證解決方案簡化了配置密鑰生命周期長度的過程。它們還采用允許服務器在設備密鑰自動過期之前更新它們的機制。消除對明確用戶干預的需求將使組織能夠在不中斷客戶服務的情況下遵守安全最佳實踐。

防止以獲取登錄信息和加密密鑰為目的的蠻力攻擊

蠻力攻擊使用反復試驗來實現其目標。不幸的是，這些攻擊簡單有效，足以流行起來。為了對抗它們，移動身份驗證解決方案使用了許多不同的技術。

其中最有效的是使組織能夠根據其獨特的需求和策略自定義設置。示例包括：

• 延遲鎖定：組織可以自定義一系列不斷升級的延遲，然后再允許用戶在嘗試失敗后重新輸入PIN或密碼。
• 計數器鎖定：此設置用于在多次嘗試不成功后呈現無效密碼。
• 靜默鎖定：當用戶輸入錯誤的PIN或密碼時，組織可以選擇將用戶鎖定在系統之外，無需任何反饋。

第三方審核和認證是幫助做出正確決策的關鍵指標

沒有第三方審計和合規認證，任何安全策略都是不完整的。這些有助于確保身份驗證解決方案是安全的，并且可以在當今瞬息萬變的環境中保護組織，并面臨快速演變的威脅。

應使用內部審查來根??據一組基于行業標準（如OWASP移動安全項目）的安全控制來驗證解決方案。

外部滲透審計和認證——例如由法國國家信息系統安全局(ANSSI)授予的Certification de Sécurité de Premier Niveau (CSPN)——可以基于一致性分析和嚴格的入侵測試來證明解決方案的穩健性。

從設備注冊到憑證管理以及所有推薦的安全審計和認證，在整個生命周期中保護消費者移動身份驗證之旅并非易事。

它要求組織仔細考慮他們的風險，學習如何實施和利用設備級安全功能，使移動身份驗證和交易簽名安全，并應用適當的控制和協議。

他們只能部署在當今不斷擴大的威脅環境中保護他們及其消費者的解決方案。